A regulamentação de segurança IoT do Reino Unido incentiva os consumidores a estarem mais atentos

O governo do Reino Unido está avançando com seus planos de criar regulamentação para dispositivos IoT. A mudança segue uma ampla tendência global de tentar bloquear o mundo crescente, mas inseguro, da IoT, afirma Mike Nelson, vice-presidente de Segurança da IoT da DigiCert .

Há muito tempo, os dispositivos da Internet das Coisas (IoT) têm sido lançados no mercado repletos de vulnerabilidades que ameaçam novos tipos estranhos de catástrofe para os usuários. De ataques que aproveitam a própria funcionalidade de um dispositivo IoT - como um carro hackeavel ou uma boneca que pode ser transformada em um dispositivo de vigilância remota - a eventos como os ataques Mirai que ameaçaram a infraestrutura da Internet em grande escala. É por essas razões que o governo do Reino Unido se aproximou.

Os regulamentos têm como objetivo basear-se no Código de Prática de 2018 - Secure by Design - que ofereceu uma série de diretrizes para fabricantes de dispositivos IoT, bem como consumidores, sobre como construir e usar dispositivos IoT com segurança. Eles incluem sugestões para o armazenamento seguro de credenciais e outros dados de segurança, minimizando as superfícies de ataque expostas, garantindo a integridade e atualização contínua do software em dispositivos IoT, bem como garantindo comunicação segura de e para os dispositivos.

O código de prática acrescentou que estava sendo implementado com a esperança de que as pessoas cumprissem e, se não o fizessem, o governo começaria a tornar essas diretrizes obrigatórias. Parece que finalmente aconteceu e os reguladores agora tornarão pelo menos três dessas diretrizes obrigatórias.

Três diretrizes

Em primeiro lugar, as senhas de IoT devem ser exclusivas e não podem ser redefinidas para o padrão de fábrica, permitindo assim que um invasor apenas procure essa senha.

Em segundo lugar, os fabricantes devem ter um contato anunciado publicamente para divulgações de vulnerabilidades, permitindo que os bugs sejam relatados e corrigidos em tempo útil.

Em terceiro lugar, os fabricantes devem estabelecer claramente o período mínimo de tempo durante o qual o dispositivo receberá atualizações de segurança, para que os consumidores possam planejar o desligamento ou tomar outras decisões de segurança com base nisso.

Os dispositivos que estiverem em conformidade serão capazes de usar com orgulho um selo que significa o endosso do governo à segurança deste produto em particular. Pode parecer uma mudança simples, mas é aquela que muda profundamente a relação entre a segurança da IoT e o consumidor.

Segurança IoT deixada para os fabricantes

Embora a segurança da IoT até agora tenha sido deixada para os fabricantes e, em seguida, talvez as equipes de segurança corporativa para consertar após o fato, o esquema de certificação Secure by Design finalmente coloca essas decisões de segurança nas mãos do consumidor. Agora, eles podem tomar essas decisões antes de introduzir dispositivos fracamente protegidos e vulneráveis ​​em uma rede segura.

Agora que os consumidores podem levar em conta a segurança ao comprar dispositivos IoT, ela pode se tornar um diferencial competitivo. Até agora, os fabricantes criaram dispositivos inseguros, em grande parte porque era mais barato para eles fazê-lo. Não havia demanda de mercado para fazer dispositivos seguros e não muito que tornasse isso lucrativo para eles.

Rotular os dispositivos e introduzir a segurança como um diferencial competitivo para os consumidores forçará os fabricantes a pensar em como podem perder menos e ganhar mais pensando na segurança desde o estágio de design. Assim que os consumidores se importarem, os fabricantes começarão a se importar também.

Cálculo feito tarde demais

É um cálculo simples que foi feito tarde demais. Por muito tempo, a responsabilidade foi efetivamente deixada para os fabricantes para proteger seus produtos de IoT, sem uma cenoura ou uma vara para levá-los adiante. Não vai resolver todos os problemas de segurança, mas é uma resposta louvável para um problema que persegue este campo há muito tempo. Governos em todo o mundo estão começando a fazer pausas, mas a coisa inteligente sobre o Secure by Design e seu esquema de certificação é que ele também vem com uma cenoura.

O autor é Mike Nelson, VP de Segurança IoT, DigiCert

Sobre o autor

Mike Nelson é o vice-presidente de segurança de IoT da DigiCert, um provedor global de segurança digital. Nessa função, Mike supervisiona o desenvolvimento de mercado estratégico da empresa para os vários setores de infraestrutura crítica, protegendo redes altamente sensíveis e dispositivos de Internet das Coisas (IoT), incluindo saúde, transporte, operações industriais e implementações de smart grid e cidade inteligente. Mike frequentemente consulta organizações, contribui com reportagens da mídia, participa de órgãos de padronização do setor e fala em conferências do setor sobre como a tecnologia pode ser usada para melhorar a segurança cibernética de sistemas críticos e das pessoas que dependem deles.

Mike passou sua carreira em TI de saúde, incluindo um tempo no Departamento de Saúde e Serviços Humanos, GE Healthcare dos EUA e Leavitt Partners - uma empresa boutique de consultoria em saúde. A paixão de Mike pela indústria vem de sua experiência pessoal como diabético tipo 1 e do uso de tecnologia conectada em seu tratamento.